Veritas NetBackup™ Appliance 安全指南
日志转发功能概述
通过日志转发功能,可以将设备日志发送至外部日志管理服务器。自软件 3.0 版起,NetBackup Appliance 支持转发 syslog。syslog 是一种操作系统日志,以事件形式提供了用户和系统级别活动。使用此功能有助于增强安全性以及实现常规合规计划,例如,HIPPA、SOX 和 PCI。当前支持的日志管理服务器有 HP ArcSight 和 Splunk。
从软件版本 5.0 开始,将审核 Appliance 命令行操作界面和 Appliance 网页操作界面访问日志。
NetBackup Appliance 使用 Rsyslog 客户端转发日志。除了 HP ArcSight 和 Splunk 外,也可以使用其他支持 Rsyslog 客户端的日志管理服务器从设备接收 syslog。请参考日志管理服务器文档,验证 Rsyslog 客户端支持。
要确保日志从设备安全地传输到日志管理服务器,可以使用 TLS(传输层安全)选项。NetBackup Appliance 当前仅支持对日志转发进行 TLS 匿名身份验证。
要启用 TLS,设备和日志管理服务器各自需要不同的准备工作,如下所示:
设备要求
配置和启用日志转发功能之前,设备需要具备以下使用 X.509 文件格式的证书和私钥文件:
ca-server.pem派生日志管理服务器证书的根 CA 证书。
nba-rsyslog.pem设备与日志管理服务器进行通信所用的证书,还包括任何中间 CA 证书。
nba-rsyslog.key与
syslog管理服务器进行通信所用证书对应的私钥。
您可以通过 NFS 或 CIFS 共享将这些文件上传到设备。
HP ArcSight 服务器的配置要求
必须在 HP ArcSight 服务器上设置带有 TLS 设置的 Rsyslog 服务器,才能从设备接收加密日志。然后,配置 Rsyslog 服务器以将解密后的日志转发到 HP ArcSiight 服务器。请参见 www.rsyslog.com 网站以获得设置和配置指南。
Splunk 服务器的配置要求
必须先在这些服务器上配置 TLS,然后在设备上配置日志转发功能。有关相应的 TLS 配置详细信息,请参考 Splunk 文档。
必须使用以下 Main > Settings > LogFowarding 命令选项从命令行操作界面配置此功能:
LogForwarding Enable
配置功能。
LogForwarding Disable
删除配置和禁用功能。
LogForwarding Share
打开或关闭设备上的 NFS 或 CIFS 共享,以获取所需证书和私钥文件。共享路径如下:
NFS:
<appliance.name>:/inst/shareCIFS:
\\<appliance.name>\general_share注意:
您也可以从 Appliance 网页操作界面中的菜单上传证书文件。
LogForwarding Show
显示当前配置和状态。
输入 LogForwarding > Enable 命令后,会出现提示以指导您完成配置,如下表所述:
表:LogForwarding > Enable 命令提示符
|
提示 |
描述 |
|---|---|
|
服务器名称或 IP |
输入外部日志管理服务器的名称或 IP 地址。 |
|
服务器端口 |
输入外部日志管理服务器上的相应端口号。 |
|
协议 |
选择 UDP 或 TCP。 |
|
启用 TLS |
选择启用 TLS 以向日志管理服务器安全传输日志。当前,仅支持 X.509 文件格式。 必须将以下证书和私钥文件上传到设备才能使用 TLS:
|
有关完整的配置和命令信息,请参考以下文档:
《NetBackup Appliance 管理指南》
《NetBackup Appliance 命令参考指南》